Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance & Governance

    Mise en œuvre de DMARC : Le temps presse

    Pourquoi les organisations du secteur public britannique doivent-elles agir maintenant ?

    by Micah Daley

    Key Points

    • Le NCSC retire Mail Check et Web Check d'ici le 31 mars 2026, transférant ainsi l'entière responsabilité de la mise en œuvre de DMARC aux organisations du secteur public britannique.
    • DMARC est essentiel pour empêcher l'usurpation de domaine et l'usurpation d'identité par courrier électronique, qui sont des menaces critiques pour la sécurité des gouvernements et la confiance du public.
    • Les organisations ne doivent pas attendre la date limite, car la mise en œuvre de DMARC peut être complexe et prendre du temps, en particulier pour les environnements de grande taille ou multifournisseurs.
    • Le DMARC Analyzer de Mimecast offre une visibilité avancée, des services gérés et une expertise éprouvée pour aider les équipes du secteur public à mettre en œuvre efficacement le DMARC avant la date limite.

    La fin du chèque postal et une nouvelle ère de responsabilité

    Le NCSC ayant retiré Mail Check et Web Check, les organisations du secteur public britannique doivent d'urgence mettre en œuvre et appliquer DMARC (Domain-based Message Authentication, Reporting, and Conformance) pour se protéger contre l'usurpation de domaine et le phishing. Si vous tardez à agir, vous risquez de ne pas respecter les règles, d'enfreindre la sécurité et de perdre la confiance du public.

    Toutes les organisations du secteur public britannique devraient disposer d'alternatives solides à Mail Check et Web Check, avec DMARC correctement mis en œuvre et appliqué. Il s'agit d'un changement important, puisque le NCSC passe d'une surveillance centralisée de la sécurité du courrier électronique à une responsabilité totale des organisations individuelles.

    Le retrait de Mail Check n'est pas seulement un changement technique, c'est un appel à l'action. Comme l'indique le NCSC, "d'ici au 31 mars 2026, les organisations devraient avoir mis en place des alternatives au contrôle par courrier et au contrôle par Internet". C'est maintenant qu'il faut agir, et non à l'approche de l'échéance.

    Pourquoi DMARC est-il essentiel pour la protection des domaines gouvernementaux ?

    DMARC est la norme de référence pour la protection des domaines contre l'usurpation d'identité et le phishing. Pour les organisations gouvernementales, les enjeux sont particulièrement importants :

    • L'usurpation de domaine : Les attaquants peuvent se faire passer pour des domaines gouvernementaux afin de tromper les citoyens, de voler des données ou de diffuser des informations erronées.
    • Phishing et BEC : les attaques de type Business Email Compromise (BEC) et phishing sont responsables d'une part importante des cyberincidents, le BEC représentant à lui seul 17 à 22% de toutes les attaques d'ingénierie sociale de ces dernières années.
    • La confiance du public : Une seule attaque réussie de spoofing peut éroder la confiance du public dans les services publics numériques.

    Le NCSC est sans équivoque : "DMARC est un contrôle essentiel pour empêcher l'usurpation de domaine et l'usurpation d'identité par courrier électronique. Sans l'application de DMARC, les domaines gouvernementaux restent vulnérables à l'exploitation, ce qui met en péril l'intégrité opérationnelle et la confiance du public.

    Que doivent faire les organisations ?

    • Évaluer les dépendances actuelles entre Mail Check et Web Check
    • Consultez le guide d'achat du NCSC pour les solutions de gestion de la surface d'attaque externe (EASM) et de DMARC.
    • Sélectionner et mettre en œuvre des alternatives commerciales
    • Tester et valider de nouvelles solutions bien avant l'échéance de mars 2026

    "Planifiez votre migration. Donnez-vous suffisamment de temps pour mettre en œuvre et configurer la solution que vous avez choisie avant l'échéance de mars 2026." - NCSC

    Les risques d'un report de la mise en œuvre de DMARC

    La mise en œuvre de DMARC n'est pas une solution miracle, en particulier pour les organisations importantes ou complexes. Le processus comprend généralement

    1. Découverte et évaluation (1-3 mois) : Cartographie de toutes les sources légitimes de courrier électronique, y compris les systèmes internes et les fournisseurs tiers.
    2. Mode surveillance (1-6 mois) : Déploiement de DMARC en mode "p=none" pour collecter des données et identifier les problèmes sans affecter la livraison.
    3. Application progressive (1 à 6 mois) : Renforcement progressif de la politique de "quarantaine" puis de "rejet", afin de s'assurer que les courriels légitimes ne sont pas bloqués.
    4. Mise en œuvre complète (3-12+ mois) : Atteindre "p=rejet" pour une protection maximale. 

    Le fait de retarder l'action augmente les risques tels que l'exposition continue au spoofing et au phishing parce que le mode de surveillance (p=none) ne bloque pas les courriels malveillants. Les manquements à la conformité constituent également un risque, car le non-respect des délais peut entraîner des sanctions réglementaires et une atteinte à la réputation. Des perturbations opérationnelles peuvent également résulter de mises en œuvre précipitées, qui conduisent souvent à des configurations erronées et au blocage de courriers électroniques légitimes.

    La mise en œuvre de DMARC peut prendre des mois, et la perte des rapports de Mail Check signifie que les organisations doivent agir maintenant pour maintenir la visibilité et la conformité.

    Passer du contrôle à l'application : Une approche progressive

    • Étape 1. Découverte complète : Inventoriez tous les systèmes et fournisseurs qui envoient des courriels en votre nom, y compris les systèmes informatiques fantômes et les systèmes existants.
    • Étape 2. Configuration de l'authentification : Assurez-vous que tous les expéditeurs légitimes sont correctement configurés avec SPF et DKIM.
    • Étape 3. Commencez par la surveillance (p=none) : Collectez les rapports DMARC pour identifier les expéditeurs non autorisés et les mauvaises configurations.
    • Étape 4. Mise en œuvre progressive : Passez à "p=quarantaine" (en utilisant éventuellement la balise "pct" pour une mise en œuvre progressive), puis à "p=rejet" une fois que vous êtes sûr de vous.
    • Étape 5. Contrôle continu : Consultez régulièrement les rapports DMARC, mettez à jour les enregistrements pour les nouveaux expéditeurs et surveillez les sous-domaines.

    L'expertise DMARC de Mimecast : Conseils pratiques pour les équipes du secteur public

    Avec l'expiration de Mail Check, de nombreuses organisations du secteur public britannique sont à la recherche d'alternatives robustes et conviviales. L'analyseur DMARC de Mimecast, tel qu'il a été présenté lors d'un récent webinaire de Mimecast, offre :

    • Visibilité avancée : Des rapports et des analyses de niveau judiciaire qui vont au-delà de la surveillance DMARC de base et fournissent des informations exploitables.
    • Services gérés : Réduit la charge de travail interne et accélère la mise en œuvre, ce qui permet aux équipes informatiques de se concentrer sur d'autres priorités.
    • Gestion de la complexité SPF : Gère les limites des enregistrements SPF, garantissant ainsi une authentification efficace du domaine.
    • Succès avéré dans le secteur public : Des études de cas concrètes démontrent l'amélioration de la visibilité, du reporting et de l'application de DMARC pour les clients du secteur public.

    La version 2.0 de Mimecast DMARC Analyzer devrait être disponible le 28 janvier 2026. DMARC Analyzer ne remplace pas seulement les capacités de Mail Check, mais les améliore également, en aidant les organisations du secteur public à chaque étape de la mise en œuvre de DMARC. Regardez le webinaire à la demande.

    Agissez maintenant pour assurer l'avenir de votre organisation

    Le retrait par le NCSC de Mail Check et de Web Check est un moment décisif pour la cybersécurité du secteur public britannique. DMARC n'est plus facultatif ; il s'agit d'un contrôle critique fortement recommandé pour protéger les domaines gouvernementaux et la confiance du public.

    N'attendez pas la dernière minute. Commencez dès aujourd'hui votre parcours DMARC, tirez parti de partenaires experts tels que Mimecast et assurez-vous que votre organisation est prête pour la date limite du 31 mars 2026. La sécurité de votre domaine et la confiance des citoyens que vous servez en dépendent. En agissant dès maintenant pour mettre en œuvre et appliquer le DMARC dans le secteur public britannique.

    Découvrez Mimecast DMARC Analyzer
    61BLOG_1.jpg
    Up Next
    Data Compliance & Governance |
    Confidentialité des données : Le paradoxe de la minimisation

    Related Articles

    Data Compliance & Governance
    Data privacy: From reactive to proactive
    Data Compliance & Governance
    Data privacy: The DSAR crisis
    Data Compliance & Governance
    Confidentialité des données : Le paradoxe de la minimisation

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page